（重点）CISP注册信息安全专业人员近年考试真题题库-含答案

1.目前，很多行业用户在进行信息安全产品选项时，均要求产品需通过安全测评，关于信息安全产品测评的意义，下列说法中不正确的是A、有助于建立和实施信息安全产品的市场准入制度B、对用户采购信息安全产品，设计、建设、使用和管理安全的信息系统提供科学公正的专业指导C、对信息安全产品的研究、开发、生产以及信息安全服务的组织提供严格的规范引导和质量监督D、打破市场垄断，为信息安全产业发展创造一个良好的竞争环境2.以下哪一项不在数字证书数据的组成中?()B、有效使用期限C、签名算法D、版权信息3.以下关于RBAC模型的说法正确的是A、该模型根据用户所担任的角色和安全级来决定B、一个用户必项扮演并激活某种角色，才能对一个对象进行访问或执行某种摸作4.某单位开发了一个面向互联网提供服务的应用网站，该单位委托软件测评机构对软件进行了源代码分析、模糊测试等软件安全性测试，在应用上线前，项目经理提出了还需要对应用网站进行一次渗透性测试，作为安全主管，你需要提出渗透性测试相比源代码测试、模糊测试的优势给领导做决策，以下哪条是渗透性测试的优势A、渗透测试以攻击者的思维模拟真实攻击，能发现如配置错误等运行维护期产生的漏洞B、渗透测试是用软件代替人工的一种测试方法，因此测试效率更高C、透测试使用人工进行测试，不依赖软件，因此测试更准确D、渗透测试中必须要查看软件源代码，因此测试中发现的漏洞更多5.以下有关信息安全方面的业务连续性管理的描述，不正确的是A、信息安全方面的业务连续性管理就是要保障企业关键业务在遭受重大灾难/破坏时，能够及时恢复，保障企业业务持续运营B、企业在业务连续性建设项目一个重要任务就是识别企业关键的、核心业务C、业务连续性计划文档要随着业务的外部环境的变化，及时修订连续性计划文档D、信息安全方面的业务连续性管理只与IT部门相关，与其他业务部门人员无须参入6.降低企业所面临的信息安全风险的手段，以下说法不正确的是?A、通过良好的系统设计、及时更新系统补丁，降低或减少信息系统自身的D、通过业务外包的方式，转嫁所有的安全风险责任答案：D7.某银行网上交易系统开发项目在最好阶段分析系统运行过程中可能存在的攻击，请问以下中，哪一项不能降低该系统的受攻击面()A、远程用户或频繁运行身份认证B、远程用户访问需要管理员权限C、关闭不必要的系统服务D、当用户访问其账户采用严格的身份认证规则8.某单位在一次信息安全风险管理活动中，风险评估报告提出服务器A的FTP服务存在高风险漏洞。随后该单位在风险处理时选择了关闭FTP服务的处理措施。请问该措施属于哪种风险处理方式?A、风险降低9.以下哪一项不是建筑物的自动化访问审计系统记A、出入的原因B、出入的时间C、出入口的位置10.国家顶级域名是()。A、netD、以上答案都不对11.小华在某电子商务公司工作，某天他在查看信息系统设计文档时，发现其中标注该信息系统的RPO(恢复点目标)指标为3小时。请问这意味着()A、该信息系统发生重大安全事件后，工作人员应在3小时内到位，完成问题定位和应急处理工作B、该信息系统发生重大安全事件后，工作人员应在3小时内完整应急处理工作并恢复对外运行C、该信息系统发生重大安全事件后，工作人员在完成处置和灾难恢复工作后，系统至少能提供3小时的紧急业务服务能力D、该信息系统发生重大安全事件后，工作人员在完成处置和灾难恢复工作后，系统至多能丢失3小时的业务数据解析：是指灾难发生后，容灾系统能把数据恢复到灾难发生前时间的数据。可简单的描述为设施能容忍的最大数据丢失量。12.IP欺骗(IPSpoof)是发生在TCP/IP协议中.层的问题A、网络接口层B、互联网网络层13.下面哪一个机构不属于美国信息安全保障管理部门?B、国防部。D、国家标准技术研究所。14.当前，应用软件安全已经日益引起人们的重视，每年新发现的应用软件漏洞已经占新发现漏洞总数一半以上。下列选项中，哪个与应用软件漏洞成因无关：A、传统的软件开发工程未能充分考虑安全因素B、开发人员对信息安全知识掌握不足C、相比操作系统而言，应用软件编码所采用的高级语言更容易出现漏洞D、应用软件的功能越来越多，软件越来越复杂，更容易出现漏洞15.windows文件系统权限管理作用访问控制列表(AccessControlList.ACL)机制，A、安装Windows系统时要确保文件格式使用的是NTFS,因为Windows的ACL机制需要NTFS文件格式的支持不高的问题文件的访问权限信息是写在用户数据库中的权限16.以下关于数字签名说法正确的是?A、数字签名是在所传输的数据后附加上一段和传输数据毫无关系的数字信息B、数字签名能够解决数据的加密传输，即安全传输问题C、数字签名一般采用对称加密机制D、数字签名能够解决篡改、伪造等安全性问题17.以下关于Windows系统的账号存储管理机制(SecurityAccountsManager)的说A、存储在注册表中的账号数据是管理员组用户都可以访问，具有较高的安全性B、存储在注册表中的账号数据只有administrator账户才有权访问，具有较高的安全性C、存储在注册表中的账号数据任何用户都可以直接访问，灵活方便D、存储在注册表中的账号数据有只有System账户才能访问，具有较高的安全性解析：SecurityAccountsManager只有system账号才能访问。18.以下哪种为丢弃废旧磁带前的最正确处理方式?D、删除磁带19.常见的访问控制模型包括自主访问控制模型、强制访问控制模型和基于角色的访问控制模型等，下面描述中错误的是()A、从安全性等级来看，这三个模型安全性从低到高的排序是自主访问控制模型，强制访问控制模型和基于角色的访问控制模型B、自主访问控制是一种广泛应用的方法，资源的所有者(往往也是创建者)可以规定谁有权利访问他们的资源，具有较好的易用性和可扩展性C、强制访问控制模型要求主体和客体都有一个固定的安全属性，系统用该安全属性来决定一个主体是否可以访问某个客体，该模型具有一定的抗恶意程序攻击能力，适用于专用或安全性要求较高的系统D、基于角色的访问控制模型的基本思想是根据用户所担任的角色来决定用户在系统中的访问权限，该模型便于实施授权管理和安全约束，容易实现最小特权，职责分离等各种安全策略解析：三个模型安全性没有横向对比，进行安全性比较是错误的，只是三种模型应20.以下关于“最小特权”安全管理原则理解正确的是：A、组织机构内的敏感岗位不能由一个人长期负责B、对重要的工作进行分解，分配给不同人员完成C、一个人有且仅有其执行岗位所足够的许可和权限D、防止员工由一个岗位变动到另一个岗位，累积越来越多的权限21.小王在学习定量风险评估方法后，决定试着为单位机房计算火灾的风险大小。假设单位机房的总价值为400万元人民币，暴露系数(ExposureFactor,EF)是25%,年度发生率(AnnualizedRateof0ccurrence,ARO)为0.2,那么小王计算的解析：年度预期损失=总价值*暴露系数*年度发生率即400*25%*0.2=20万元22.当用户输入的数据被一个解释器当作命令或查询语句的一部分执行时，就会产生哪种类型的漏洞?C、信息泄露23.2016年10月21日，美国东部地区发生大规模断网事件，此次事件是由于美国主要DNS服务商Dyn遭遇大规模DDos攻击所致，影响规模惊人，对人们生产生活造成了严重影响，DDos攻击的主要目的是破坏系统的()A、保密性B、可用性C、不可否认性24.小赵是某大学计算机科学与技术专业的毕业生，在前往一家大型企业应聘时，面试经理要求他给出该企业信息系统访问控制模型的设计思路。如果想要为一个存在大量用户的信息系统实现自主访问控制功能，在以下选项中，从时间和资源消耗的角度，下列选项中他应该采取的最合适的模型或方法是()B、能力表(CL)25.以下关于软件安全测试说法正确的选项是?A、软件安全测试就是黑盒测试。B、测试是经常采用的安全测试方法之一。C、软件安全测试关注的是软件的功能。D、软件安全测试可以发现软件中产生的所有安全问题。26.信息安全保障技术框架(InformationAssuranceTechnicalFramework,IATF)由美国国家安全局(NSA)发布，最初目的是为保障美国政府和工业的信息基础设施安全提供技术指南，其中，提出需要防护的三类“焦点区域”是：A、网络和基础设施、区域边界、重要服务器B、网络和基础设施、区域边界、计算环境C、网络、机房环境、网络接口、计算环境解析：网络和基础设施、区域边界、计算环境、支撑性基础设施。27.以下关于项目的含义，理解错误的是A、项目是为达到特定的目的、使用一定资源、在确定的期间内、为特定发起人而提供独特的产品、服务或成果而进行的一次性努力。B、项目有明确的开始日期，结束日期由项目的领导者根据项目进度来随机确定。C、项目资源指完成项目所需要的人、财、物等。D、项目目标要遵守SMART原则，即项目的目标要求具体(Specific)、可测量的时限(Time-oriented)28.打电话诈骗密码属于攻击方式。A、木马B、社会工程学C、电话系统漏洞D、拒绝服务29.信息安全是国家安全的重要组成部分，综合研究当前世界各国信息安全保障工作，下面总结错误的是A、各国普遍将国家安全、社会稳定和民生密切相关的关键基础设施作为信息安全保障的中重点B、各国普遍重视战略规划工作，逐步发布网络安全战略、政策评估报告、推进计划等文件C、各国普遍加强国际交流和对话，均同意建立一致的安全保障系统，强化各国安全系统互通D、各国普遍积极推动信息安全立法和标准规范建设，重视应急响应，安全监管和安全测评30.某IT公司针对信息安全事件件已经建立了完善的预案，在年度企业信息安全总结会上，信息安全管理员对今年的应急预案工作做出了四个总结，其中有一项总结工作是错误，作为企业的CSO,请你指出存在问题的是哪个总结?A、公司自身拥有优秀的技术人员，系统也是自己开发的。无需进行应急演练工作，因此今年的仅制定了应急演练相关流程及文档，为了不影响业务，应急演练工作不举行B、公司制定的应急演练流程包括应急事件通报、确定应急事件优先级、应急响应启动实施、应急响应时间后期运维、更新现有应急预案五个阶段，流程完善可用C、公司应急预案包括了基础环境类、业务系统类、安全事件类和其他类，基本覆盖了各类应急事件类型D、公司应急预案对事件分类依据GB/Z20986—2007《信息安全技术信安全技术信息安全事件分类分级指南》,分为7个基本类别，预案符合国家相关标准31.在一个使用ChineseWall模型建立访问控制的信息系统中，数据W和数据X在一个兴趣冲突域中，数据Y和数据Z在另一个信息兴趣冲突注册的用户：()。C、无论是否访问W,都只能访问Y和Z中的一个D、无论是否访问W,都不能访问Y和Z32.随着信息安全涉及的范围越来越广，各个组织对信息安全管理的需求越来越迫体系，提高组织的信息安全管理能力，关于ISMS,下面描述错误的是()。A、在组织中，应由信息技术责任部门(如信息中心)制定并颁布信息安全方针，为组织的ISMS建设指明方向并提供总体纲领，明确总体要求B、组织的管理层应确保ISMS目标和相应的计划得以制定，信息安全管理目标应明确、可度量，风险管理计划应其体，具备可行性C、组织的信息安全目标、信息安全方针和要求应传达到全组织范围内，应包括全体员工，同时，也应传达到客户、合作伙伴和供应商等外部各方D、组织的管理层应全面了解组织所面临的信息安全风险，决定风险可接受级别和风险可接受准则，并确认接受相关残余风险33.若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求，其信息安全控制措施通常在以下方面实施常规控制，不包括哪一项()A、信息安全方针、信息安全组织、资产管理C、访问控制、信息系统获取、开发和维护、符合性34.ISO/IBC27001《信息技术安全技术信息安全管理体系要求》的内容是基于B、B.BS7799-2《信息安全管理体系规范》C、信息技术安全评估准则(简称ITSEC、D、信息技术安全评估通用标准(简称CC)35.是PKI体系中最基本的元素.PKI系统所有的安全操作都是通过该机制采实现的。()36.2016年9月，一位安全研究人员GoogleCloudIP上通过扫描，发现了完整的美国路易斯安那州290万选民数据库。这套数据库中囊括了诸如完整姓名、电子邮箱地址、性别与种族、选民状态、注册日期与编号、政党代码、电话号码以及最后一次投票及投票历史等详细信息。安全研究员建议当地民众及时修改与个人信息相关的用户名和密码，以防止攻击者利用以上信息进行()攻击。A、默认口令C、暴力37.若一个组织声称自己的ISMS符合ISO/IEC27001或GB/T22080标准要求，其信息安全控制措施通常在以下方面实施常规控制，不包括哪一项()A、信息安全方针、信息安全组织、资产管理B、人力资源安全、物力和环境安全、通信和操作管理C、访问控制、信息系统获取、开发和维护、符合性D、规划与建立ISMS38.以下哪种风险被定义为合理的风险?A、最小的风险39.在ISO的OSI安全体系结构中，以下哪一个安全机制可以提供抗抵赖安全服务?B、数字签名C、访问控制D、路由控制。答案：BA、有助于建立和实施信息安全产品的市场准入制度B、对用户采购信息安全产品，设计、建设、使用和管理安全的信息系统提供科学公正的专业指导C、对信息安全产品的研究、开发、生产以及信息安全服务的组织提供严格的规范41.以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述A、应基于法律法规和用户需求，进行需求分析和风险评估，从信息系统建设的开始就综合信息系统安全保障的考虑B、应充分调研信息安全技术发展情况和信息安全产品市场，选择最先进的安全解决方案和技术产品C、应在将信息安全作为实施和开发人员的一项重要工作内容，提出安全开发的规范并切实落实D、应详细规定系统验收测试中有关系统安全性测试的内容42.Hadoop是目前广泛应用的大数据处理分析平台。在Hadoop1.0.0版本之前，Hadoop并不存在安全认证一说。默认集群内所有的节点都是可靠的，值得信赖的。用户与服务器进行交互时并不需要进行验证。导致存在恶意用户伪装成真正的用户或者服务器入侵到Hadoop集群上，恶意的提交作业，纂改分布式存储的数据，伪装成NameNode或者TaskTracker接受任务等。在Hadoop2.0中引入了Kerberos机制来解决用户到服务器的认证问题，Kerberos的认证过程不包括()B、获得服务许可票据C、获得密钥分配中心的管理权限43.某单位计划在今年开发一套办公自动化(OA、系统，将集团公司各地的机构通过互联网进行协同办公，在OA系统的设计方案评审会上，提出了不少安全开发的建议，作为安全专家，请指出大家提的建议中不太合适的一条?A、对软件开发商提出安全相关要求，确保软件开发商对安全足够的重视，投入资源解决软件安全问题B、要求软件开发人员进行安全开发培训，使开发人员掌握基本软件安全开发知识C、要求软件开发商使用Java而不是ASP作为开发语言，避免产生SQL注入漏洞44.为了预防计算机病毒，应采取的正确措施是()。D、不玩任何计算机游戏45.信息安全需求获取的主要手段A、信息安全风险评估B、领导的指示C、信息安全技术D、信息安全产品46.信息安全活动应由来自组织不同部门并具备相关角色和工作职责的代表进行，下面哪项包括非典型的安全协调应包括的人员?A、管理人员、用户、应用设计人员B、系统运维人员、内部审计人员、安全专员C、内部审计人员、安全专员、领域专家D、应用设计人员、内部审计人员、离职人员47.某公司的对外公开网站主页经常被黑客攻击后修改主页内容，该公司应当购买并部署下面哪个设备(),可以提高对此类威胁的防护能力。B、网络审计系统C、网页防篡改系统D、虚拟专用网系统A、明文根据密钥被不同的密文字母代替C、明文和密钥的每个bit异或D、明文根据密钥作移位49.Iinux系统中如何禁止按Control-Alt-Delete关闭计算机()A、把系统中“/sys/inittab”文件中的对应一行注释掉B、把系统中“/sysconf/inittab”文件中的对应一行注释掉C、把系统中“/sysnet/inittab”文件中的对应一行注释掉D、把系统中“/sysconf/init”文件中的对应一行注释掉50.84.规范的实施流程和文档管理，是信息安全风险评估能否取得成果的重要基础，某单位在实施风险评估时，形成了《待评估信息系统相关设备及资产清单》。在风险评估实施的各个阶段中，该《待评估信息系统相关设备及资产清单》应是如下()中的输出结果。A、风险评估准备B、风险要素识别D、风险结果判定51.风险评估相关政策，目前主要有()。(国信办[2006]5号)。主要内容包括分析信息系统资产的(),评估信息系统面临的()、存在的()、已有的安全措施和残余风险的影响等、两类信息系统的()、涉密信息系统参照“分级保护”、非涉密信息系统参照“等级保护”。A、《关于开展信息安全风险评估工作的意见》;重要程度；安全威胁；脆弱性；工作开展B、《关于开展风险评估工作的意见》;安全威胁；重要程度；脆弱性；工作开展C、《关于开展风险评估工作的意见》;重要程度；安全威胁；脆弱性；工作开展D、《关于开展信息安全风险评估工作的意见》;脆弱性；重要程度；安全威胁；工作开展A、信息安全管理是管理者为实现信息安全目标(信息资产的CIA等特性以及业务运作的持续)而进行的计划、组织、指挥、协调和控制的一系列活动。B、信息安全管理是一个多层面、多因素的过程，依赖于建立信息安全组织、明确信息安全角色及职责、制定信息安全方针策略标准规范、建立有效的监督审计机制等多方面非技术性的努力。D、信息安全管理是人员、技术、操作三者紧密结合的系统工程，是一个静态过程。53.如果你作为甲方负责监管一个信息安全工程项目的实施，当乙方提出一项工程A、变更的流程是否符合预先的规定B、变更是否会对项目进度造成拖延C、变更的原因和造成的影响D、变更后是否进行了准确地记录54.电子公告服务提供者应当记录在电子公告服务系统中发布的信息内容及其发布时间、互联网地址或者域名。记录备份应当保存()日。55.某软件公司准备提高其开发软件的安全性，在公司内部发起了有关软件开发生命周期的讨论，在下面的发言观点中，正确的是A、软件安全开发生命周期较长、阶段较多，而其中最重要的是要在软件的编码阶段做好安全措施，就可以解决90%以上的安全问题B、应当尽早在软件开发的需求和设计阶段就增加一定的安全措施，这样可以比在软件发布以后进行漏洞修复所花的代价少得多C、和传统的软件开发阶段相比，微软提出的安全开发生命周期(SecurityDevelopmentLifecycle,SDL)的最大特点是增加了一个专门的安全编码阶段D、软件的安全测试也很重要，考虑到程序员的专业性，如果该开发人员已经对软件进行了安全性测试，就没有必要在组织第三方进行安全性测试56.9)具有行政法律责任强制力的安全管理规定和安全制度包括：(1).安全事件(包括安全事故)报告制度(2).安全等级保护制度(3).信息系统安全监控(4).安全专用产品销售许可证制度?A、EAL1,EAL2,EAL3,EAL4,EAL5,EAL答案：A60.在某信息系统的设计中，用户登录过程是这样的：(1)用户通过HTTP协议访问信息系统；(2)用户在登录页面输入用户名和口令；(3)信息系统在服务器端检查用户名和密码的正确性，如果正确，则鉴别完成。可以看出，这个鉴别过程属A、双向鉴别B、三向鉴别C、第三方鉴别D、单向鉴别答案：D解析：参考登陆网页系统，属于单向鉴别。61.个人问责不包括以下哪一项?A、访问规则。B、策略与程序。C、审计跟踪。D、唯一身份标识符。答案：B62.较低的恢复时间目标(恢复时间目标)的会有如下结果：C、更长的中断时间63.关于对信息安全事件进行分类分级管理的原因描述不正确的是()A、信息安全事件的种类很多，严重程度各不相同，其影响和处理方式也各不相同B、对信息安全事件进行分类和分级管理，是有效防范和影响信息安全事件的基础C、能够使事前准备，事中应对和事后处理的各项相关工作更其针对性和有效性D、我国早期的计算机安全事件的应急响应工作主要包括计算机的病毒防范和“千年虫”问题的解决，关于网络安全应急响应的起步最早64.下面关于访问控制模型的说法不正确的是：A、DAC模型中主体对它所属的对象和运行的程序有全部的控制权B、DAC实现提供了一个基于“need-to-know”的访问授权的方法，默认拒绝任何人的访问。访问许可必须被显示地赋予访问者主体能访问哪个对象。但用户可以改变它。D、RBAC模型中管理员定义一系列角色(roles)并把它们赋予主体。系统进程和普通用户可能有不同的角色。设置对象为某个类型，主体具有相应的角色就可以访65.某网站为了开发的便利，使用SA连接数据库，由于网站脚本中被发现存在SQL注入漏洞，导致攻击者利用内置存储过程XP_cmdshe11删除了系统中的一个重要文件，在进行问题分析时，作为安全专家，你应该指出该网站涉及违反了以下哪些原B、最小特权原则C、保护最薄弱环节的原则D、纵深防御的原则66.某电子商务网站在开发设计时，使用了威胁建模方法来分折电子商务网站所面临的威胁，STRIDE是微软SDL中提出的威胁建模方法，将威胁分为六类，为每一类威胁提供了标准的消减措施，Spoofing是STRIDE中欺骗类的威胁，以下威胁中哪个可以归入此类威胁?A、网站竞争对手可能雇佣攻击者实施rooS攻击，降低网站访问速度B、网站使用http协议进行浏览等操作，未对数据进行加密，可能导致用户传输信息泄露，例如购买的商品金额等C、网站使用http协议进行浏览等操作，无法确认数据与用户发出的是否一致，可能数据被中途篡改D、网站使用用户名、密码进行登录验证，攻击者可能会利用弱口令或其他方式获得用户密码，以该用户身份登录修改用户订单等信息67.一个组织的灾难恢复(DR,disasterrecovery)策略的变更时将公司的关键任务应用的恢复点目标(RPO)被缩短了，下述哪个是该变更的最显著风险?A、现有的DR计划没有更新以符合新的RPOB、小组没有基于新的RPO进行培训C、备份没有以足够的频率进行以实现新的RPOD、该计划没有基于新的RPO进行测试68.91.小李和小刘需要为公司新搭建的信息管理系统设计访问控制方法，他们在讨论中就应该采用自主访问控制还是强制访问控制产生了分歧。小本认为应该采用自主访问控制的方法，他的观点主要有；(1)自主访问控制方式，可为用户提供灵活、可调整的安全策略，合法用户可以修改任一文件的存取控制信息；(2)自主访问控制可以抵御木马程序的攻击。小刘认为应该采用强制访问控制的方法，他的观点主要有；(3)强制访问控制中，只有文件的拥有者可以修改文件的安全属性，因此安全性较高；(4)强制访问控制能够保护敏感信息。以上四个观点中，只有一个观点是正确的，它是().A、观点(1)B、B.观点(2)C、C.观点(3)D、D.观点(4)69.随着即时通讯软件的普及使用，即时通讯软件也被恶意代码利用进行传播，以下哪项功能不是恶意代码利用即时通讯进行传播的方式A、利用即时通讯软件的文件传送功能发送带恶意代码的可执行文件B、利用即时通讯软件发送指向恶意网页的URLC、利用即时通讯软件发送指向恶意地址的二维码D、利用即时通讯发送携带恶意代码的JPG图片70.一项功能可以不由认证中心CA完成?A、撤销和中止用户的证书B、产生并分布CA的公钥C、在请求实体和它的公钥间建立链接D、发放并分发用户的证书71.一个组织的灾难恢复(DR,disasterrecovery)策略的变更时将公司的关键任务应用的恢复点目标(RPO)被缩短了，下述哪个是该变更的最显著风险?A、现有的DR计划没有更新以符合新的RPOB、DR小组没有基于新的RPO进行培训C、备份没有以足够的频率进行以实现新的RPO72.某网站管理员小邓在流量监测发现近期网站的入站TCMP流量上升了解到50%,尽管网站没有发现任体的性能下降或其他问题，但为了安全起见，他仍向主管领导D、增加网站服务以应该即将来临的拒绝服务攻击73.下列岗位哪个在招聘前最需要进行背景调查?74.以下哪些不是《国家网络安全空间战略》中产生的我国网络空间当前任务?A、捍卫网络空间主权C、提升网络空间防护能力D、阻断与国外网络连接75.当审核一个组织的业务连续性计划时，某IS审计师观察到这个被审计组织的数据和软件文件被周期性的进行了备份。有效性计划哪一个特性在这里被证明?76.信息安全管理最关注的是?B、病毒对PC的影响D、病毒对网络的影响77.关于信息安全策略文件以下说法不正确的选项是哪个?78.信息安全风险评估是信息安全管理体系建立的基础，以下说法中错误的是?A、信息安全管理体系的建立需要确定信息安全需求，而信息安全需求获取的主要手段就是安全风险评估；B、风险评估可以对信息资产进行鉴定和评估，然后对信息资产面对的各种威胁和脆弱性进行评估；C、风险评估可以确定需要实施的具体安全控制措施；D、风险评估的结果应进行相应的风险处置，本质上，风险处置的最佳集合就是信息安全管理体系的控制措施集合。79.以下关于威胁建模流程步骤说法不正确的是()。A、威胁建模主要流程包括四步：确定建模对象、识别威胁、评估威胁和消减威胁B、评估威胁是对威胁进行分析，评估被利用和攻击发生的概率，了解被攻击后资产的受损后果，并计算风险C、消减威胁是根据威胁的评估结果，确定是否要消除该威胁以及消减的技术措施，可以通过重新设计直接消除威胁，或设计采用技术手段来消减威胁D、识别威胁是发现组件或进程存在的威胁，它可能是恶意的，也可能不是恶意的，威胁就是漏洞解析：识别威胁是发现组件或进程存在的威胁，威胁是一种不希望发生、对资产目标有害的事件。从本质上看，威胁是潜在事件，它可能是恶意的，也可能不是恶意80.下列哪一个是国家推荐标准81.下面哪一种情况可以使信息系统安全官员实现有效进行安全控制的目的?A、完整性控制的需求是基于风险分析的结果B、控制已经过了测试C、安全控制规范是基于风险分析的结果D、控制是在可重复的基础上被测试的82.在使用系统安全工程-能力成熟度模型(SSE-CMM)对一个组织的安全工程能力成熟度进行测量时，正确的理解是：83.某电子商务网站最近发生了一起安全事件，出现了一个价值1000元的商品用1对于网站的这个问题原因分析及解决措施。最正确的说法应该是?有找到该威胁并采取相应的消减措施品价格验证就可以解决84.当客户需要访问组织信息资产时，下面正确的做法是?A、应向其传达信息安全要求及应注意的信息安全问题。B、尽量配合客户访问信息资产。C、不允许客户访问组织信息资产。D、不加干涉，由客户自己访问信息资产。85.以下关于直接附加存储(DirectAttachedStorage,DAS)说法错误的是：据存储方法储设备中的数据不能被存取86.在未受保护的通信线路上传输数据和使用弱口令是一种?A、弱点C、可能性D、人员88.下面国家秘密定级和范围的描述中，哪项不符合《保守国家秘密法》要求?A、国家秘密机密级的具体范围，由国家保密工作部门分别会同外交、公安、国家安全和其他有关机关规定B、各级国家机关、单位对所产生的国家秘密事项，应当按照国家秘密及其密级具体范围的规定确定密级C、对是否属于国家秘密和属于何种密级不明确的事项，可由各单位自行参考国家要求确定和定级，然后上报国家保密工作部门确定D、对是否属于国家秘密和属于何种密级不明确的事项，由国家保密工作部门，89.监视恶意代码主体程序是否正常的技术是?B、备份文件90.下面对“零日(Zero-day)漏洞”的理解中，正确的是?A、指一个特定的漏洞，该漏洞每年1月1日零点发作，可以被攻击者用来远程攻击，获取主机权限B、指一个特定的漏洞，特指在2010年被发现出来的一种漏洞，该漏洞被“震网”病毒所利用，用来攻击伊朗布什尔核电站基础设施C、指一类漏洞，即特别好被利用，一旦成功利用该漏洞，可以在1天内完成攻击，且成功达到攻击目的D、指一类漏洞，即刚被发现后立即被恶意利用的安全漏洞，一般来说，那些已经被小部分人发现，但是还未被公开、还不存在安全补丁的漏洞都是零日漏洞91.关于标准，下面哪项理解是错误的()。共同重复使用的一种规范性文件。标准是标准化活动的重要成果B、国际标准是由国家标准组织通过并公开发布的标准。同样是强制性标准，当国家标准和国际标准的条款发生冲突时，应以国际标准条款为准C、行业标准是针对没有国家标准而又需要在全国某个行业范围内统一的技术要求而制定的标准。同样是强制性标准，当行业标准和国家标准的条款发生冲突时，应D、行业标准由省、自治区、直辖市标准化行政主管部门制定，并报国务院标准化行政主管部门和国务院有关行政主管部门备案，在公布国家标准之后，该地方标准即应废止A、项目是为达到特定的目的，使用一定资源、在确定的期间内，为特定发起人而提供独特的产品、服务或成果而进行的一次性努力。B、项目有明确的开始日期，结束日期由项目的领导者根据项目进度来随机确定。C、项目资源指完成项目所需要的人、财、物等。D、项目目标要遵守SMART原则，即项目的目标要求具体(Specific)、可测量 93.功能测试不能实现以下哪个功能()B、补丁D、全网访问控制策略A、传输层、网络接口层、互联网络层B、传输层、互联网络层、网络接口层C、互联网络层、传输层、网络接口层D、互联网络层、网络接口层、传输层95.下面哪项是信息安全管理体系中CHECK〔检查〕中的工作内容?A、按照计划的时间间隔进行风险评估的评审B、实施所选择的控制措施C、采取合适的纠正和预防措施。从其它组织和组织自身的安全经验中吸取教训96.关于计算机取证描述不正确的是?A、计算机取证是使用先进的技术和工具，按照标准规程全部地检查计算机系统，以提取和保护有关计算机犯罪的相关证据的活动。B、取证的目的包括，通过证据查找肇事者，通过证据推断犯罪过程，通过证据判断受害者损失程度及收据证据提供法律支持C、电子证据是计算机系统运行过程中产生的各种信息记录及存储电子化资料及物品。对于电子证据，取证工作主要围绕两个方面进行，证据的获取和证据的保护D、计算机取证的过程可以分为准备、保护、提取、分析和提交5个步骤97.信息安全工程作为信息安全保障的重要组成部门，主要是为了解决：A、信息系统的技术架构安全问题B、信息系统组成部门的组件安全问题C、信息系统生命周期的过程安全问题D、信息系统运行维护的安全管理问题据封装的顺序是().A、传输层、网络接口层、互联网络层B、传输层、互联网络层、网络接口层C、互联网络层、传输层、网络接口层D、互联网络层、网络接口层、传输层解析：自上而下顺序为传输层、互联网络层、网络接口层.99.近年来利用DNS劫持攻击大型网站恶性攻击事件时有发生，防范这种攻击比较有效的方法是?A、加强网站源代码的安全性C、协调运营商对域名解析服务器进行加固D、在网站的网络出口部署应用级防火墙100.某政府机构委托开发商开发了一个OA系统。其中公交分发功能使用了FTP协专家提出使用Http下载代替FTP功能以解决以上问题，该安全问题的产生主要是在哪个阶段产生的()101.数字签名技术，在接收端，采用()进行签名验证。C、接收者的公钥102.攻击是指借助于客户机/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。()B、拒绝服务D、口令攻击103.信息保障技术框架(IATF)是美国国家安全局(NSA)制定的，为保护美国政府和工业界的信息与信息技术设施提供技术指南，关于IATF的说法错误的是?A、IATF的代表理论为“深度防御”。B、IATF强调人、技术、操作这三个核心要素，从多种不同的角度对信息系统进行C、IATF关注本地计算环境、区域边界、网络和基础设施三个信息安D、IATF论述了系统工程、系统采购、风险管理、认证和鉴定以及生命周期支持等的是A、在传送模式中，保护的是IP负载中的这种威胁为R威胁件系统中的这种威胁为R威胁D、对于R威胁，可以选择使用如隐私保护、过滤、流量控制等技术措施来解决使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构),应当自网络正式联通之日起日内，到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。()108.密码处理依靠使用密钥，密钥是密码系统里的最重要因素。以下哪一个密钥算法在加密数据与解密时使用相同的密钥?B、、随机数生成算法C、、对称密钥算法D、、非对称密钥算法109.根据《信息系统安全等级保护定级指南》,信息系统的安全保护等级由哪两个A、威胁、脆弱性B、系统价值、风险110.下述关于安全扫描和安全扫描系统的描述错误的是。()A、安全扫描在企业部署安全策略中处于非常重要地位B、安全扫描系统可用于管理和维护信息安全设备的安全C、安全扫描系统对防火墙在某些安全功能上的不足不具有弥补性111.FTP(文件传输协议，FileTransferProtocol,简称FFP)服务、SMTP(简单邮件传输协议，SimpleMailTransferProtocol,简称SMTP)服务、HTTP(超文本传输协议，HyperTextTransportProtocol,简称HTTP)、HTTPS(加密并通过安全B、Land是一种针对网络进行攻击的方使主机系统处理错误而崩溃系统崩溃113.当组织将客户信用审查系统外包给第三方服务提供商时，下列哪一项是信息安全专业人士最重要的考虑因素?该提供商：B、同意可以接受外部安全审查C、其服务和经验有很好的市场声誉D、符合组织的安全策略114.在软件开发过程中，高质量软件产生的过程与每一个环节都息息相关。那么在软件可维护性中哪两项是相互矛盾的A、可修改性和可理解性B、可测试性和可理解性C、效率和可修改性115.随着()的增加，信息系统的安全风险降低B、脆弱性116.一个信息管理系统通常会对用户进行分组并实施访问控制，例如，在一个学校的教务系统中，教师能够录入学生的考试成绩，学生只能查看自己的分数，而学校教务部门的管理人员能够对课程信息、学生的选课信息等内容进行修改，下列选项中，对访问控制的作用的理解错误的是?A、对经过身份鉴别后的合法用户提供所有服务B、拒绝非法用户的非授权访问请求C、在用户对系统资源提供最大限度共享的基础上，对用户的访问权进行管理D、防止对信息的非授权篡改和滥用117.windows文件系统权限管理使用访问控制列表(AccessControlList.ACL)机A、安装Windows系统时要确保文件格式适用的是NTFS.因为Windows的ACL机制需要NTFS文件格式的支持问题件的访问权限信息是写在用户数据库中的118.如果只能使用口令远程认证，以下哪种方案安全性最好?A、高质量静态口令，散列保护传输B、高质量静态口令，固定密钥加密保护传输C、动态随机口令，明文传输D、高质量静态口令，增加随机值，明文传输用，其中总结错误的是()企业文化C、可以增强客户、业务伙伴、投资人对该组织保障其业务平台和数据信息的安全信心IS09001认证B、不下载、不执行、不接收来历不明的软件或文件C、修改用户名和口令解析：修改用户名和口令不能防范此类攻击.121.业务系统运行中异常错误处理合理的方法是：A、让系统自己处理异常B、调试方便，应该让更多的错误更详细的显示出来C、捕获错误，并抛出前台显示D、捕获错误，只显示简单的提示信息，或不显示任何信息B、审计策略D、查询功能123.强制访问控制是指主体和客体都有一个固定的安全属性，系统用该安全属性来决定一个主体是否可以访问某个客体，具有较高的安全性。适用于专用或对安全性要求较高的系统，强制访问控制模型有多种模型，如BLP、Biba、Clark-Willson和ChinescWall等。小李自学了BLP模型，并对该模型的特点进行了总结。以下4种对BLP模型的描述中，正确的是?A、BLP模型用于保证系统信息的机密性，规则是“向上读，向下写”B、BLP模型用于保证系统信息的机密性，规则是“向下读，向上写”C、BLP模型用于保证系统信息的完整性，规则是“向上读，向下写”D、BLP模型用于保证系统信息的完整性，规则是“向下读，向上写”124.有关系统工程的特点，以下错误的是A、系统工程研究问题一般采用先决定整体框架，后进入详细设计的程序B、系统工程的基本特点，是需要把研究对象解构为多个组成部分分别独立研究C、系统工程研究强调多学科协作，根据研究问题涉及到的学科和专业范围，组成一个知识结构合理的专家体系D、系统工程研究是以系统思想为指导，采取的理论和方法是综合集成各学科、各领域的理论和方法125.下列对跨站脚本攻击(XSS)的描述正确的是：D、XSS攻击就是利用被控制的机器不断地向被攻击网站发送访问请求，迫使HS连接X超出限制，当CPU-------耗尽，那么网站也就被攻击垮了，从而达到攻击的126.分片攻击问题发生在?A、数据包被发送时C、数据包被接收时D、数据包中的数据进行重组时127.数位物件识别号(Digital0bjectldentifier,简称D01)是一套识别数位资源的机制，涵括的对象有视频、报告或书籍等等。它既有一套为资源命名的机制，也有一套将识别号解析为具体位址的协定。DOI码由前缀和后缀两部分组成，之间用“/”分开，并且前级以“.”再分为两部分。以下是一个典型的D01识别号，10.1006/jmbi.1998.2354,下列选项错误的是()A、“10.1006”是前级，由国际数位物件识别号基金会确定B、“10”为D01目前唯的特定代码，用以将D01与其他采用同样技术的系统区分开C、“1006是注册代理机构的代码，或出版社代码，用于区分不同的注册机构D、后缀部分为：jmbi.1998.2354,由资源发行者自行指定，用于区分一个单独的数字资料，不具有唯一性128.以下SQL语句建立的数据库对象A、表129.安全漏洞产生的原因不包括以下哪一点A、软件系统市场出现信息不对称现象B、软件系统代码的复杂性D、复杂异构的网络环境130.信息安全管理体系(InformationSecurityManagementSystem,ISMS)的内部审核和管理审核是二项重要的管理活动。关于这二者，下面描述错误的是()A、内部审核和管理审评都很重要，都是促进ISMS持续改进的重要动力，也都应当按照一定的周期实施B、内部审核的实施方式多采用文件审核和现场审核的形式，而管理评审的实施方式多采用召开管理审评会议的形式进行C、内部审核的实施主体由组织内部的ISMS内审小组，而管理评审的实施主体是由国家政策制定的第三方技术服务机构D、组织的信息安全方针、信息安全目标和有关的ISMS文件等，在内部审计中作为审核准使用，但在管理评审中，这些文件是被审对象131.IS027002中描述的11个信息安全管理控制领域不包括：A、信息安全组织C、内容安全D、人力资源安全133.某移动智能终端支持通过指纹识别解锁系统的功能，与传统的基于口令的鉴别A、所选择的特征(指纹)便于收集、测量和比较B、每个人所拥有的指纹都是独一无二的D、此类系统一般由用户指纹信息采集和指纹信息识别两部分组成134.在软件项目开发过程中，评估软件项目风险时，()与风险无关。A、高级管理人员是否正式承诺支持该项目B、开发人员和用户是否充分理解系统的需求C、最终用户是否同意部署已开发的系统D、升发需變的资金是否能按时到位135.在提高阿帕奇系统(ApacheServer)系统安全性时，下面哪项措施不属于安全配置内容()?C、不使用操作系统管理员用户身份运行Apache,而是采用权限受限的专用用户账号来运行D、积极了解Apache的安全通告，并及时下载和更新软件开发过程中的核心业务功能，下列哪个选项不属于核心业务功能A、治理，主要是管理软件开发的过程和活动B、构造，主要是在开发项目中确定目标并开发软件的过程与活动C、验证，主要是测试和验证软件的过程与活动D、购置，主要是购买第三方商业软件或者采用开源组件的相关管理过程与活动解析：SAMM模型四个部分是治理、构造、验证和部署137.随着信息安全涉及的范围越来越广，各个组织对信息安全管理的需求越来越迫切，越来越多的组织开始尝试使用参考ISO27001介绍的ISMS来实施信息安全管理体系，提高组织的信息安全管理能力。关于ISMS,下面描述错误的是()。A、在组织中，应由信息技术责任部门(如信息中心)制定并颁布信息安全方针，B、组织的管理层应确保ISMS目标和相应的计划得以制定，信息安全管理目标应明确、可度量，风险管理计划应具体，具备可行性C、组织的管理层应全面了解组织所面临的信息安全风险，决定风险可接受级别和风险可接受准则，并确认接受相关残余风险D、组织的信息安全目标、信息安全方针和要求应传达到全组织范围内，应包括全体员工，同时，也应传达到客户、合作伙伴和供应商等外部各方138.对口令进行安全性管理和使用，最终是为了()A、口令不被攻击者非法获得B、防止攻击者非法获得访问和操作权限C、保证用户帐户的安全性D、规范用户操作行为找到并消除系统的脆弱性/漏洞、修改安全策略、加强防范措施、格式化被感染恶 A、准备阶段C、遏制阶段D、根除阶段140.指导和标准信息安全管理的所有活动的文件叫做?141.在数据链路层中MAC子层主要实现的功能是A、介质访问控制B、物理地址识别C、通信协议产生142.降低风险的控制措施有很多，下面哪一个不属于降低风险的措施?B、对网络上传输的数据进行加密C、制定机房安全管理制度143.下列哪类证件不得作为有效身份证件登记上网()144.一个信息管理系统通常会对用户进行分组并实施访问控制。例如，在一个学校的教务系统中，教师能够录入学生的考试成绩，学生只能查看自己的分数，而学校教务部门的管理人员能够对课程信息、学生的选课信息等内容进行修改。下列选项中，对访问控制的作用的理解错误的是()。A、对经过身份鉴别后的合法用户提供所有服务B、在用户对系统资源提供最大限度共享的基础上，对用户的访问权进行管理C、拒绝非法用户的非授权访问请求D、防止对信息的非授权篡改和滥用解析：访问控制的核心：允许合法用户的授权访问，防止非法用户的访问和合法用户的越权访问。。P304页。145.管理者何时可以根据风险分析结果对已识别的风险不采取措施?A、两个不同的消息，得到相同的消息摘要B、两个相同的消息，得到不同的消息摘要C、消息摘要和消息的长度相同D、消息摘要比消息长度更长147.防止擅自使用资料档案的最有效的预防方法是：A、自动化的档案访问入口C、使用访问控制软件148.身份认证中的证书由C、企业团体或行业协会发行149.以下哪一个是ITU的数字证书标准150.Kerberos协议是一种集中访问控制协议，它能在复杂的网络环境中，为用户提供安全的单点登录服务，单点登录是指用户在网络中进行一次身份认证，便可以访问其授权的所有网络资源，而不再需要请他的身份认证过程，实质是消息M在多个应用系统之间的传递或共享。其中，消息M是一下选项中的B、用户名C、加密密钥151.信息安全风险评估是信息安全风险管理工作中的重要环节。在国家网络与信息安全协调小组发布的《关于开展信息安全风险评估工作的意见》(国信办[2006]5号)中，风险评估分为自评估和检查评估两种形式，并对两种工作形势提出了有关工作原则和要求。下面选项中描述正确的是()A、信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补充B、信息安全风险评估应以检查评估为主，自评估和检查评估相互结合、互为补充C、自评估和检查评估时相互排斥的，单位应慎重地从两种工作形式选择一个，并长期使用D、自评估和检查评估是相互排斥的，无特殊理由的单位均应选择检查评估，以保证安全效果A、使用对称加密进行通信数据加密，使用公钥加密进行会话密钥协商B、使用公钥加密进行通信数据加密，使用对称加密进行会话密钥协商C、少量数据使用公钥加密，大量数据则使用对称加密D、大量数据使用公钥加密，少量数据则使用对称加密153.下面WAPI描述不正确的是：A、安全机制由WAI和WPI两部分组成B、WAI实现对用户身份的鉴别154.一个信息管理系统通常会对用户进行分组并实施访问控制。例如，在一个学校务部门的管理人员能够对课程信息、学生的选课信息等内容进行修改。下列选项中，对访问控制的作用的理解错误的是()。A、对经过身份鉴别后的合法用户提供所有服务B、在用户对系统资源提供最大限度共享的基础上，对用户的访问权进行管理C、拒绝非法用户的非授权访问请求D、防止对信息的非授权篡改和滥用的越权访问。。P304页。155.强制访问控制是指主体和客体都有一个固定的安全属性，系统用该安全属性来决定一个主体是否可以访问某个客体，具有较高的安全性。适用于专用或对安全性要求较高的系统，强制访问控制模型有多种模型，如BLP、Biba、Clark-Willson和Chines-Wall等。小李自学了BLP模型，并对该模型的特点进行了总结。以下4种对BLP模型的描述中，正确的是()A、BLP模型用于保证系统信息的机密性，规则是“向上读，向下写”B、BLP模型用于保证系统信息的机密性，规则是“向下读，向上写”C、BLP模型用于保证系统信息的完整性，规则是“向上读，向下写”D、BLP模型用于保证系统信息的完整性，规则是“向下读，向上写”156.某单位开发了个面向互联网提供服务的应用网站，该单位委托软件测评机构对软件进行了源代码分析、模糊测试等软件安全性测试，在应用上线前，项目经理提出了还需要对应用网站进行一次渗透测试，作为安全主管，你需要提出渗透性测试相比源代码测试、模糊测试的优势给领导做决策，以下哪条是渗透性测试的优势?A、渗透测试以攻击者的思维模拟真实攻击，能发现如配置错等运行维护所产生的漏洞B、渗透测试是用软件代替人工的一种测试方法，因此测试效更高C、渗透测试使用人工进行测试，不依赖软件，因此测试更准确D、渗透测试必须查看软件源代码，因此测试中发现的漏洞更多157.当采取了安全控制措施后，剩余风险可接受风险的时候，说明风险管理是B、大于158.防火墙提供的接入模式不包括C、混合模式159.在以下标准中，属于推荐性国家标准的是?160.下列不属于物理安全控制措施。()A、门锁C、口令161.GaryMoGrow博士及其合作都提出软件安全应由三根支柱来支撑，这三个支柱A、测代码审核，风险分析和渗透测试B、应用风险管理，软件安全接触点和安全知识C、威胁建模，渗透测试和软件安全接触点D、威胁建模，测代码审核和模模糊测试162.某个新成立的互联网金融公司拥有10个与互联网直接连接的IP地址，但是该网络内有15台个人计算机，这些个人计算机不会同时开机并连接互联网。为解决公司员工的上网问题，公司决定将这10个互联计算机开机并连接网络时，管理中心从这10个地址中任意取出一个尚未分配的IP台个人计算机可以获取一个IP地址，并实现与互联网的连接。该公司使用的IP地址规划方式是()。A、静态NAT分配地址165.为了降低风险，不建议使用的Internet服务是()。B、外部访问内部系统答案：D166.传统软件开发方法无法有效解决软件安全缺陷问题的原因是：A、传统软件开发方法将软件开发分为需求分析、架构设计、代码编写、测试和运行维护五个阶段B、传统的软件开发方法，注重软件功能实现和保证，缺乏对安全问题进行处理的任务、里程碑与方法论，也缺乏定义对安全问题的控制与检查环节C、传统的软件开发方法，将软件安全定义为编码安全，力图通过规范编码解决安全问题，缺乏全面性D、传统的软件开发方法仅从流程上规范软件开发过程，缺乏对人员的培训要求，开发人员是软件安全缺陷产生的根源167.在戴明环(PDCA)模型中，处置(ACT)环节的信息安全管理活动是?B、实施风险处理计划C、持续的监视与评审风险D、持续改进信息安全管理过程解析：P:plan计划D:do实施C:check检查A:act改进SQLServer的混全模式是指：当网络用户尝试接到SQLServer数据库时，()定用户的数据库访权限定用户的数据库访权限C、SQLServe根据已在Windows身份验证，并决定用户的数据库访权限D、登录到本地Windows的用户均可无限制访问SQLServe数据库169.有关能力成熟度模型(CMM)错误的理解是?A、CMM的基本思想是，因为问题是由技术落后引起的，所以新技术的运用会在一定程度上提高质量、生产率和利润率B、CMM的思想来源于项目管理和质量管理程的高质量和在过程中组织实施的成熟性可以低成本地生产出高质量产品”解析：生产过程的高质量和在过程中组织实施的成熟性可以低成本生产出高质量产品，,不是技术落后，有新技术就可以的A、国家秘密是关系国家安全和利益的事项B、国家秘密的确定没有正式的法定程序C、除了明确规定需要长期保密的，其他的园家秘密都是有保密期限的D、国家秘密只限一定范围的人知悉A、有效的B、合法的C、实际的172.不属于数据库加密方式的是()?A、硬件/软件加密B、库内加密C、专用中间件加密D、库外加密访问控制的方法，他的观点主要有；(1)自主访向控制方式，可为用户提供灵活、可调整的安全策略，合法用户可以修改任一文件的存取控制信息；(2)自主访问此安全性较高；(4)强制访问控制能够保护敏感信息。以上四个观点中，个观点是正确的，它是().A、观点(1)B、观点(2)C、观点(3)D、观点(4)B、软件的日志备份模块由于需要备份所有数据库数据，在备份模块运行时，以数据库备份操作员账号连接数据库C、软件的日志模块由于要向数据库中的日志表中写入日志信息，使用了一个日志用户账号连接数据库，该账号仅对日志表拥有权限D、为了保证软件在Windows下能稳定的运行，设定运行权限为system,确保系统运行正常，不会因为权限不足产生运行错误176.关于《网络安全法》域外适用效力的理解，以下哪项是错误的()B、对于来自境外的网络全胁我国所以组织技术力最进行测、防御和处置C、对于来自境外的违法信息我国可以加以阻斯传播D、对于来自境外的网络攻击我国可以追究其法律责任178.相比FAT文件系统，以下那个不是NTFS所具有的优势?A、NTFS使用事务日志自动记录所有文件和文件夹更新，当出现系统损坏引起操作失败后，系统能利用日志文件重做或恢复未成功的操作。B、NTFS的分区上，可以为每个文件或文件夹设置单独的许可权限D、相比FAT文件系统，NTFS文件系统能有效的兼容linux下的EXT3文件格式。179.关于信息安全，下列说法中正确的是()A、信息安全等同于网络安全B、信息安全由技术措施实现C、信息安全应当技术与管理并重D、管理措施在信息安全中不重要180.信息安全管理措施不包括：C、访问控制181.许多web应用程序存在大量敏感数据，包括信用卡、杜保卡号码、身份认证证书等，Web应用这些敏感信息存储到数据库或者文件系统中，但是并使用密措施来保护。小李不想自己的银行卡密码被泄露，他一直极力避免不安全的密码存储，他总结出几种不安全的密码存储问题，其中有一项应该归为措施，请问是哪A、使用弱算法B、使用话当的加密措施或Hash算法C、不安全的密钥生成和储存182.小张在一不知名的网站上下载了鲁大师并进行了安装，电脑安全软件提示该软件有恶意捆绑，小张惊出一身冷汗，因为他知道恶意代码将随之进入系统后悔对他的系统信息安全造成极大的威胁，那么恶意代码的软件部署常见的实现方式不包括 A、攻击者在获得系统的上传权限后，将恶意代码部署到目标系统B、恶意代码自身就是软件的一部分，随软件部署传播C、内嵌在软件中，当文件被执行时进入目标系统183.某攻击者想通过远程控制软件潜伏在某监控方的UNIX系统的计算机中，如果攻击者打算长时间地远程监控某服务器上的存储的敏感数据，必须要能够清除在监控方计算机中存在的系统日志。否则当监控方查看自己的系统日志的时候，就会发现被监控以及访向的痕迹。不属于清除痕迹的方法是()。A、窃取root权限修改wtmp/wtmpx、utmp/utmpx和lastlog三个主要日志文件B、采用干扰手段影响系统防火墙的审计功能C、保留攻击时产生的临时文件D、修改登录日志，伪造成功的登录日志，增加审计难度184.某病毒利用RPCDCOM缓冲区溢出漏洞进行传播，病毒运行后，在%System%文件夹下生成自身的拷贝nvchip4.exe,添加注册表项，使得自身能够在系统启动时自动运行。通过以上描述可以判断这种病毒185.对信息安全的理解，正确的选项是A、信息资产的保密性、完整性和可用性不受损害的能力，是通过信息安全保障措施实现的B、通过信息安全保障措施，确保信息不被丧失C、通过信息安全保证措施，确保固定资产及相关财务信息的完整性D、通过技术保障措施，确保信息系统及财务数据的完整性、机密性及可用性这些威胁可以按照个人威胁、组织威胁和国家威胁三个层面划分，则下面选项中属于组织威胁的是A、喜欢恶作剧、实现自我挑战的娱乐型黑客B、实施犯罪、获取非法经济利益网络犯罪团伙C、搜集政治、军事、经济等情报信息的情报机构D、巩固战略优势，执行军事任务、进行目标破坏的信息作战部队187.为了保障系统安全，某单位需要对其跨地区大型网络实时应用系统进行渗透测试，以下关于渗透测试过程的说法不正确的是()。A、由于在实际渗透测试过程中存在不可预知的风险，所以测试前要提醒用户进行系统和数据备份，以便出现问题时可以及时恢复系统和数据B、为了深入发掘该系统存在的安全威胁，应该在系统正常业务运行高峰期进行渗透测试C、渗透测试从“逆向”的角度出发，测试软件系统的安全性，其价值在于可以测试软件在实际系统中运行时的安全状况D、渗透测试应当经过方案制定、信息收集、漏洞利用、完成渗透测试报告等步骤解析：在正常业务运行高峰期进行渗透测试可能会影响系统正常运行。188.以下关于信息安全工程说法正确的是A、信息化建设中系统功能的实现是最重要的B、信息化建设可以先实施系统，而后对系统进行安全加固C、信息化建设中在规划阶段合理规划信息安全，在建设阶段要同步实施信息安全建设D、信息化建设没有必要涉及信息安全建设189.模糊测试，也称Fuzz测试，是一种通过提供非预期的输入并监视异常结果来发现软件故障的方法。下列描述正确的A、模糊测试有时属于黑盒测试，有时属于白盒测试，取决于其使用的测试方法B、模糊测试本质上属于白盒测试C、模糊测试本质上属于黑盒测试D、模糊测试既不属于黑盒测试，也不属于白盒测试190.IS07498-2描述了8种特定的安全机制，以下不属于这8种安全机制的是()。C、数字签名机制D、访问控制机制业和事业部门、团体和个人的有关数据的集合。数据库中的数据是从全局观点出发整体的结构化特征。数据库作为应用系统数据存储的系统，毫全的重点防护对象。数据库安全涉及到数据资产的安全安全要求不包括下列()A、向所有用户提供可靠的信息服务B、拒绝执行不正确的数据操作C、拒绝非法用户对数据库的访问D、能跟踪记录，以便为合规性检查、安全责192.应用安全，一般是指保障应用程序使用过程和结果的安全。以下内容中不属于应用安全防护考虑的是()问应用系统资源访问储在硬盘、内存或缓冲区的信息被非授权的访问房安全等级、机房的建造和机房的装修等193.某商贸公司信息安全管理员考虑到信息系统对业务影响越来越重要，计划编制本单位信息安全应急响应预案，在向主管领导写报告时，他列举了编制信息安全应急响应预案的好处和重要性，在他罗列的四条理由中，其中不适合作为理由的一条A、应急预案是明确关键业务系统信息安全应急响应指挥体系和工作机制的重要方式B、应急预案是提高应对网络和信息系统突发事件能力，减少突发事件造成的损失和危害，保障信息系统运行平稳、安全、有序、高效的手段C、编制应急预案是国家网络安全法对所有单位的强制要求，因此必须建设D、应急预案是保障单位业务系统信息安全的重要措施194.数据链路层负责监督相邻网络节点的信息流动.用检错或纠错技术来确保正确的传输，确保解决该层的流量控制问题.数据链路层的数据单元是()A、报文B、比特流C、业务流程服务的应用196.第四代移动通信技术(4G)是()集合体?D、分类指南、信息的标记和处理199.下面哪一种物理访问控制能够对非授权访问提供最高级别的安全?C、电子门锁200.PDR模型是第一个从时间关系描述一个信息系统是否安全的模型，PDR模型中的P,D,R代表分别代表()。A、保护检测响应B、策略检测响应D、保护检测恢复201.对操作系统软件安装方面应建立安装(),运行系统要仅安装经过批准的可执行代码，不安装开发代码和(),应用和操作系统软件要在大范围的、成功的测试之后才能实施。而且要仅由受过培训的管理员，根据合适的(),进行运行软件、应用和程序库的更新；必要时在管理者批准的情况下，仅为了支持目的，才授予供应商物理或迎辑访问权，并且要监督供应商的活动。对于用户能安装何种类型的软件，组织宜定义并强制执行严格的方针，宜使用()。不受控制的计算机设备上的软件安装可能导致脆弱性，进而导致信息泄露；整体性损失或其他信息安全事件或A、控制规程；编译程序；管理授权；最小特权方针；知识产权B、编译程序；控制规程；管理授权；最小特权方针；知识产权C、控制规程；管理授权；编译程序；最小特权方针；知识产权D、控制规程；最小特权方针；编译程序；管理授权；知识产权202.由于频繁出现软件运行时被黑客远程攻击获取数据的现象，某软件公司准备加强软件安全开发管理，在下面做法中，对于解决问题没有直接帮助的是?B、要求所有的开发人员参加软件安全意识培训。B、检测C、响应204.以下哪一种环境控制适用于保护短期内电力环境不稳定条件下的计算机设备?B、电流浪涌防护装置AsurgeprotC、替代电源D、不间断供电A、明文根据密钥被不同的密文字母代替C、明文和密钥的每个bit异或D、明文根据密钥作了移位206.防火墙是网络信息系统建设中常采用的一类产品，它在内外网隔离方面的作用207.当1IS解析出现错误的时候，会返回一定的错误信息，而这些错误信息中，可能包含被恶意用户利用的敏感信息，如：在SQL注入过程中，就有可能产生包含数据库的敏感信息，这一信息被定义为什么编号?208.在完成了大部分策略的编制工作后，需要对其进行总结和提炼，产生的成果文B、安全方针C、适用性声明D、操作规范209.以下关于信息系统安全保障是主观和客A、通过在技术、管理、工程和人员方面客观地评估安全保障措施，向信息系统的所有者提供其现有安全保障工作是否满足其安全保障目标的信心。B、信息系统安全保障不仅涉及安全技术，还应综合考虑安全管理、安全工程和人员安全等，以全面保障信息系统安全C、是一种通过客观证据向信息系统所有者提供主观信心的活动210.44.关于信息安全应急响应管理过程描述不正确的是A、基于应急响应工作的特点和事件的不规则性，事先制定出事件应急响应方法和过程，有助于一个组织在事件发生时阻止混乱的发生或是B、一种被广为接受的应急响应方法是将应急响应管理过程分为准备、检测、遏制、根除、恢复和跟踪总结6个阶段。这6个阶段的响应方法一定能确保事件处理的成功C、一种被广为接受的应急响应方法是将应急响应管理过程分为准备、检测、遏制、根除、恢复和跟踪总结6个阶段。211.在Linux系统中，下列哪项内容不包含在/etc/passwd文件中()A、用户名B、用户口令…D、用户登录后使用的SHELL212.信息安全风险管理是基于()的信息安全管理，也就是，始终以()为主线进行信息安全的管理。应根据实际()的不同来理解信息安全风险管理的侧重点，即()选择的范围和对象重点应有所不同。213.建立并完善()是有效应对社会工程攻击的方法，通过()的建立，使得信息系统用户需要遵循()来实施某些操作，从而在一定程度上降低社会工程学的影响。例如对于用户密码的修改，由于相应管理制度的要求，()需要对用户身份进行电话(),因为他还需要想办法拥有一个组织机构内部电话才能实施。214.于ISO/IEC21827:2002(SSE-A、SSE-CMM是关于信息安全建设工程实施方面的标准B、SSE-CMM的目的是建立和完善一套成熟的、可度量的安全工程过程根本保证D、SSE-CMM是用于对信息系统的安全等级进行评估的标准216.应急响应计划文档不应该D、由专人负责保存与分发A、在安全的传输信道上进行通信219.王工是某某单位的系统管理员，他在某次参他这个工作属于下列哪一个阶段的工作?A、资产识别并贬值B、脆弱性识别并贬值C、威胁识别并贬值D、确认已有的安全措施并贬值A、IS027002的前身是IS017799-1全部C、IS027002对于每个措施的表述分”控制措施”、“实施指南”、和“其它信息”三个部分来进行描述D、IS027002提出了十一大类的安全管理措施，其中风险评估和处置是处于核心地位的一类安全措施222.由于频繁出现计算机运行时被黑客远程攻击获取数据的现象，某软件公司准备加强软件安全开发管理，在下面做法中，对于解决问题没有直接帮助的是()223.随着信息安全涉及的范围越来越广，各个组织对信息安全管理的需求越来越迫切，越来越多的组织开始尝试使用参考IS027001介绍的ISMS来实施信息安全管理体系，提高组织的信息安全管理能力。关于ISMS,下面描述错误的是()。A、组织的管理层应确保ISMS目标和相应的计划得以制定，信息安全管理目标应明确、可度量，风险管理计划应具体，具备可行性B、组织的管理层应全面了解组织所面临的信息安全风险，决定风险可接受级别和风险可接受准则，并确认接受相关残余风险C、组织的信息安全目标、信息安全方针和要求应传达到全组织范围内，应包括全体员工，同时，也应传达到客户、合作伙伴和供应商等外部各方D、在组织中，应由信息技术责任部门(如信息中心)制定并颁布信息安全方针，为组织的ISMS建设指明方向并提供总体纲领，明确总体要求解析：方针应由组织的管理层颁布。224.部署互联网协议安全虚拟专用网消耗B、配置AES算法可以提供可靠的数据完整性验证C、配置MD5安全算法可以提供可靠地数据加密D、报文验证头协议(A